Leitfaden Cyber-Sicherheits-Check
|
|
- Damian Bergmann
- vor 8 Jahren
- Abrufe
Transkript
1 Leitfaden Cyber-Sicherheits-Check Ein Leitfaden zur Durchführung von Cyber-Sicherheits-Checks in Unternehmen und Behörden
2
3 Cyber-SiCherheitS-CheCk inhalt Inhaltsverzeichnis Allianz für Cyber-Sicherheit Bundesamt für Sicherheit in der Informationstechnik ISACA Germany Chapter e.v. Kooperation BSI / ISACA Einleitung 8 2 Einführung in die Cyber-Sicherheit Was ist Cyber-Sicherheit? Cyber-Angriffe und Advanced Persistent Threats (APTs) Auswirkungen der Cyber-Kriminalität auf Institutionen und Gesellschaft Cyber-Sicherheitsstrategie der Bundesregierung 15 3 Grundsätze des Cyber-Sicherheits-Checks 18 4 Durchführung eines Cyber-Sicherheits-Checks Beurteilungsgegenstand Vorgehensweise Qualität der Durchführung / Personenzertifikat Beurteilungsmethoden Verbindliche Maßnahmenziele Bewertungsschema Erstellung des Beurteilungsberichtes 29 1
4 Cyber-SiCherheitS-CheCk inhalt 5 Glossar und Begriffsdefinition 34 6 Literaturverzeichnis 37 7 Maßnahmenziele 40 2
5 Cyber-SiCherheitS-CheCk allianz für Cyber-SiCherheit Allianz für Cyber-Sicherheit Die auf der CeBIT 2012 gestartete Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) gegründet wurde. Als Zusammenschluss wichtiger Akteure im Bereich der Cyber-Sicherheit in Deutschland hat die Allianz zum Ziel, die Cyber-Sicherheit in Deutschland zu erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Die Allianz für Cyber-Sicherheit unterstützt den Informations- und Erfahrungsaustausch zwischen den verschiedenen Akteuren aus Wirtschaft, Verwaltung und Wissenschaft und erweitert darauf aufbauend kontinuierlich eine umfangreiche Wissensbasis. Wirtschaftsunternehmen sind aufgerufen, sich aktiv in die Allianz für Cyber-Sicherheit einzubringen und den Erfahrungsaustausch zu stärken. Indem sie dem BSI beispielsweise mitteilen, mit welchen neuartigen Bedrohungen oder IT- Sicherheitsvorfällen die Unternehmen konfrontiert sind, tragen sie zur Erstellung eines vollständigen Lagebilds bei und helfen, noch zielgerichteter gegen Cyber-Angriffe agieren zu können. Gleichzeitig profitieren auch die Unternehmen von gemeinsam gewonnenen Erkenntnissen und Erfahrungen. 3
6 Cyber-SiCherheitS-CheCk DaS bsi Bundesamt für Sicherheit in der Informationstechnik Das Bundesamt für Sicherheit in der Informationstechnik wurde am 1. Januar 1991 mit Sitz in Bonn gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern. Mit seinen derzeit rund 600 Mitarbeiterinnen und Mitarbeitern und 88 Mio. Euro Haushaltsvolumen ist das BSI eine unabhängige und neutrale Stelle für alle Fragen zur IT-Sicherheit in der Informationsgesellschaft. Die Angebote der Behörde richten sich dabei an die öffentliche Verwaltung in Bund, Ländern und Kommunen ebenso wie an Wirtschaftsunternehmen und Bürger. Das BSI untersucht und bewertet bestehende IT-Sicherheitsrisiken und schätzt die Auswirkungen neuer Entwicklungen ab. Zunehmend beobachtet das BSI eine Vielzahl von gezielten sowie ungezielten Cyber- Angriffen. Aufbauend darauf zieht das BSI Schlussfolgerungen in Bezug auf die Verbesserung der IT-Sicherheit in Deutschland. So erarbeitet das BSI beispielsweise Mindeststandards und Handlungsempfehlungen zur IT- und Internet-Sicherheit für verschiedene Zielgruppen, damit Risiken in Zukunft erst gar nicht entstehen. Heute kann sich keine Branche und kein Unternehmen vor Cyber-Angriffen sicher wähnen. Das zeigen die zahlreichen Vorfälle der jüngeren Zeit. Dr. Hartmut Isselhorst, Abteilungspräsident Cyber-Sicherheit, BSI 4
7 Cyber-SiCherheitS-CheCk isaca Germany Chapter e.v. ISACA Germany Chapter e.v. Das ISACA Germany Chapter e.v. ist der deutsche Zweig des weltweit führenden Berufsverbandes der IT-Revisoren, IT- Sicherheitsmanager und IT-Governance-Beauftragten. Der Verein wurde 1986 gegründet und ist mit über Mitgliedern Teil des internationalen Verbandes ISACA, dem weltweit mehr als Know-how-Träger in über 180 Ländern der Welt angehören. Zweck des Vereins ist es, durch Diskussion und Informationsaustausch zwischen den Mitgliedern und Interessenten das Verständnis der Probleme auf dem Gebiet der IT-Revision, IT-Sicherheit sowie IT-Governance zu fördern und diese Erfahrungen durch Publikationen und Seminare allen Mitgliedern und Interessenten zur Kenntnis zu bringen sowie die Kontakte zwischen den Mitgliedern und Interessenten durch gesellschaftliche Veranstaltungen zu unterstützen und zu ergänzen. Darüber hinaus soll der Verein zur Förderung des Berufsbildes der IT-Revisoren, IT-Sicherheitsmanager sowie der IT-Governance-Beauftragten beitragen. Der Herr seiner Daten zu sein, ist angesichts der aktuellen Entwicklungen wichtiger denn je. Nur wenn Institutionen ihr Wissen schützen können, behalten sie ihren Vorsprung. Andreas Teuscher, Vorstand des Ressort Facharbeit und Arbeitskreise, ISACA Germany Chapter e.v. 5
8 Cyber-SiCherheitS-CheCk kooperation bsi/isaca Kooperation BSI / ISACA Dieser Leitfaden wurde durch das ISACA Germany Chapter e.v. Ressort Facharbeit und Arbeitskreise (Fachgruppe Informationssicherheit) gemeinsam mit Experten des BSI entwickelt. Durch diesen aktiven Partnerbeitrag dokumentiert das ISACA Germany Chapter e.v., dass es die Ziele der Allianz für Cyber-Sicherheit mit seinem guten Namen, den ihm zur Verfügung stehenden Mitteln und dem Fachwissen seiner Mitglieder unterstützt. 6
9 1 Einleitung 7
10 Cyber-SiCherheitS-CheCk einleitung 1 Einleitung Die meisten Geschäftsprozesse hängen heute vom verlässlichen und fehlerfreien Funktionieren der Informations- und Kommunikationstechnik ab. Viele Ratingagenturen bewerten daher die Sicherheit der Informationstechnik schon als Teil der operationellen Risiken eines Unternehmens. Die tatsächlichen Bedrohungen, ebenso wie die Schadenshöhe erfolgreicher Cyber-Angriffe, sind nicht immer offensichtlich: So sind beispielsweise die Konsequenzen eines Know-how-Diebstahls möglicherweise erst sehr viel später erkennbar. Umfragen zufolge waren bereits über 70 Prozent der größeren Unternehmen in Deutschland von Cyber-Angriffen betroffen. Dabei nehmen Anzahl, Komplexität und Professionalität der Angriffe zu. Die trotzdem in vielen Unternehmen immer noch verbreitete Einstellung Bisher ist ja auch nichts passiert kann daher schnell zu ernsthaften Problemen führen, wenn die bestehenden Sicherheitskonzepte nicht kontinuierlich und angemessen an die geänderte Bedrohungslage angepasst werden. Unabhängig davon nimmt die Anzahl der Bedrohungen stetig zu, womit auch die Wahrscheinlichkeit, dass ein Unternehmen oder eine Behörde von einem Cyber-Angriff betroffen ist, rasant ansteigt. Je nach Abhängigkeit von der IT kann die Unternehmenstätigkeit komplett zum Stillstand gebracht werden mit allen Konsequenzen, die damit verbunden sind. Cyber-Sicherheit sollte daher Chefsache sein. Die Bedrohungen aus dem Cyber-Raum sind real. Um Cyber- Angriffen wirksam zu begegnen, ist eine intensive Kooperation von Staat, Wirtschaft und Verbänden erforderlich. Es gilt, vorhandenes Wissen zu bündeln, um angesichts neuer Angriffsszenarien vorbereitet zu sein. Aus diesem Grunde haben sich das Bundesamt für Sicherheit in der Informationstechnik und das ISACA Germany Chapter e.v. dazu entschlossen, in Kooperation eine praxisorientierte Vorgehensweise zur Beurteilung der Cyber-Sicherheit in Unternehmen und Behörden zu entwickeln. Der Cyber-Sicherheits 8
11 Cyber-SiCherheitS-CheCk einleitung Check hilft dabei, den Status der Cyber-Sicherheit auf Basis der Cyber-Sicherheits-Exposition (siehe [ACS2]) zu bestimmen und somit aktuellen Bedrohungen aus dem Cyber-Raum wirksam zu begegnen. Grundlage eines jeden Cyber-Sicherheits-Checks sind die vom BSI veröffentlichten Basismaßnahmen der Cyber- Sicherheit (siehe [ACS3]). Die Dauer eines Cyber-Sicherheits-Checks kann durch Anpassung der Beurteilungstiefe an die zu beurteilende Institution und die gegebenen Rahmenbedingungen von einem bis zu mehreren Tagen modifiziert werden. Ein Cyber-Sicherheits- Check kann sowohl durch qualifiziertes, eigenes Personal, als auch durch externe Dienstleister, die ihre Kompetenz zur Durchführung von Cyber-Sicherheits-Checks durch eine Personenzertifizierung zum Cyber-Security-Practitioner nachgewiesen haben, durchgeführt werden. Als besonders interessanten Mehrwert stellen BSI und ISACA darüber hinaus eine Zuordnung der zu beurteilenden Maßnahmenziele zu bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO 27001, COBIT, PCI DSS) zur Verfügung. Eine Mustervorlage für einen Abschlussbericht, der in kompakter Form sowohl die festgestellten Mängel, als auch Empfehlungen zum Abstellen dieser Mängel darstellt, vervollständigt die bereitgestellten Hilfsmittel zur Durchführung eines Cyber-Sicherheits-Checks. Der vorliegende Leitfaden richtet sich an alle Interessenten, die sich direkt oder indirekt mit der Cyber-Sicherheit befassen. Aufgrund der Relevanz und Wichtigkeit dieses Themas sollten sich alle Ebenen, also Leitung / Management einer Institution, Information Security Manager / IT-Sicherheitsbeauftragte, Corporate Security Manager, IT-Administratoren und IT-Revisoren bis hin zum Endanwender mit Cyber-Sicherheit befassen. Dieses Dokument ist als Orientierungshilfe für Einsteiger und als Handlungsanleitung für Verantwortliche, die einen Cyber Sicherheits-Check veranlassen oder durchführen möchten, gedacht. Der vorliegende Leitfaden liefert konkrete Vorgaben für die Durchführung eines Cyber-Sicherheits-Checks, welche insbesondere in Kapitel 4 Durchführung eines Cyber-Sicherheits- Checks zu finden sind. IT-Sicherheitsbeauftragten und sonsti 9
12 Cyber-SiCherheitS-CheCk einleitung gen Verantwortlichen für die Informationssicherheit soll dieser Leitfaden insbesondere dazu dienen, sich einen Überblick über das Thema zu verschaffen, die zu beurteilenden Sicherheitsaspekte zu betrachten und sich mit dem Ablauf eines Cyber Sicherheits-Checks vertraut zu machen. Dieser Leitfaden bildet die Grundlage für die Durchführung von Cyber-Sicherheits-Checks in Unternehmen und Behörden. Revisoren und Beratern wird ein praxisnaher Handlungsleitfaden zur Verfügung gestellt, der konkrete Vorgaben und Hinweise für die Durchführung eines Cyber-Sicherheits-Checks und die Berichtserstellung enthält. Die Vereinheitlichung der Vorgehensweise gewährleistet eine gleichbleibend hohe Qualität. Darüber hinaus soll hierdurch die Transparenz für Unternehmen und Behörden beim Vergleich unterschiedlicher Angebote im Rahmen der Ausschreibung und Beauftragung der Dienstleistung Cyber-Sicherheits-Check erhöht werden. Das Bundesamt für Sicherheit in der Informationstechnik und das ISACA Germany Chapter e.v. bedanken sich bei den Autoren der ISACA-Fachgruppe Informationssicherheit: Matthias Becker, Olaf Bormann, Ingrid Dubois, Gerhard Funk, Oliver Knörle, Andrea Rupprich, Dr. Tim Sattler und Andreas Teuscher. 10
13 2 Einführung in die Cyber-Sicherheit 11
14 Cyber-SiCherheitS-CheCk einführung 2 Einführung in die Cyber-Sicherheit 2.1 Was ist Cyber-Sicherheit? Cyber-Sicherheit, Cyber-Angriff, Cyber-Kriminalität und Cyber- Kriegsführung sind längst zu Schlagwörtern in Sicherheitsdiskussionen avanciert. Das ist zum Teil der technischen Entwicklung geschuldet, liegt im Wesentlichen aber an der stetig steigenden Zahl von Sicherheitsvorfällen, kriminellen Handlungen und neuartigen informationsbasierten Angriffsmethoden. Der Mythos, dass es sich hierbei um Aktivitäten von Einzelnen mit einem Ausnahmewissen handelt, ist der Erkenntnis gewichen, dass Cyber-Sicherheit eine wichtige Facette der Sicherheit ist und diese durch die Leitung / das Management einer Institution berücksichtigt werden muss. Sie erfordert den Einsatz angemessener Ressourcen und sollte fester Bestandteil des unternehmerischen Risikomanagements sein. Der Begriff Cyber im Kontext der Informationssicherheit erfordert jedoch eine zusätzliche Erklärung, da er oft missverstanden oder verallgemeinert wird. Im Hinblick auf diesen Leitfaden umfasst Cyber-Sicherheit die Überprüfung getroffener Sicherheitsmaßnahmen mittels Cyber-Sicherheits-Checks, Abbildung 1: Entwicklung im Cyber-Raum (aus [ISACA2]) 12
15 Cyber-SiCherheitS-CheCk einführung die Institutionen und Einzelpersonen davor bewahren soll, Opfer eines Cyber-Angriffs, von Cyber-Kriminalität oder Cyber-Kriegsführung zu werden. In der Praxis beschränkt sich Cyber-Sicherheit jedoch auf fortgeschrittene und zielgerichtete Angriffe, die nur schwer zu entdecken und abzuwehren sind (siehe Advanced Persistent Threats (APTs)). Cyber-Sicherheit ist somit ein Teil der generellen Kriminalitätsbekämpfung, wobei die Täter bei ihren Angriffen bewusst und gezielt Informationstechnologie als Waffe einsetzen. Wie in Abbildung 1 dargestellt ist, hat Cyber-Sicherheit eine Geschichte, die bis in die frühen 1980er Jahre zurückreicht, als Kriminelle begannen, technische Angriffe in Form von Hacking, Cracking und Schadprogrammen (z. B. Viren, Würmer und Trojanische Pferde) für ihre Zwecke einzusetzen. Erst in den vergangenen Jahren aber haben sich Cyber-Kriminalität und weit verbreitete Cyber-Angriffe zu einem gesellschaftlichen und wirtschaftlichen Problem entwickelt. 2.2 Cyber-Angriffe und Advanced Persistent Threats (APTs) Institutionen müssen sich täglich mit Bedrohungen, Risikoszenarien und Schwachstellen auseinandersetzen. Die höchste Gefährdung für Unternehmen und Behörden sowie deren Partner stellen aktuell zielgerichtete Cyber-Angriffe durch fortgeschrittene, gut organisierte und professionell ausgestattete Angreifer dar. Diese Art der Angriffe wird häufig unter dem Begriff APT (Advanced Persistent Threat) zusammengefasst (siehe [ISACA7]). APTs sind sowohl in ihrer Vorbereitung als auch in ihrer Durchführung meist sehr komplex und werden typischerweise in mehreren Phasen vollzogen. Das Ziel eines APT ist es, möglichst lange unentdeckt zu bleiben, um über einen längeren Zeitraum sensible Informationen auszuspähen oder anderweitig Schaden anzurichten. Diese Art von Cyber-Angriffen hat häufig einen professionellen Hintergrund (z. B. Cyber-Kriminalität oder Wirtschaftsspionage), ist schwer zu detektieren und die Angreifer sind nur mit erheblichem Aufwand zu identifizieren. Die folgende Abbildung zeigt, wie sich die Bedrohungen über die Zeit entwickelt haben und welche Motivation dahinter stecken kann. 13
16 Cyber-SiCherheitS-CheCk einführung Abbildung 2: Entwicklung der Bedrohungslandschaft (aus [ISACA7]) Der vorliegende Leitfaden und die zugrunde liegenden Maßnahmenziele für die Beurteilung wurden so konzipiert, dass APT-basierte Cyber-Angriffe grundsätzlich erschwert und die Fähigkeiten zur Entdeckung eines Angriffs und zur adäquaten Reaktion gestärkt werden. Das Risiko, einem APT-basierten Cyber-Angriff zum Opfer zu fallen, kann somit durch regelmäßige Durchführung eines Cyber-Sicherheits-Checks minimiert werden. Sofern eine Institution bereits Opfer eines APT-Angriffs wurde bzw. der Verdacht auf einen APT-Angriff besteht, können konkrete Maßnahmen zur Reaktion dem BSI-Dokument Erste-Hilfe bei einem APT-Angriff (siehe [ACS5]) entnommen werden. 2.3 Auswirkungen der Cyber-Kriminalität auf Institutionen und Gesellschaft Die Bedrohungen durch Cyber-Kriminalität und Cyber- Kriegsführung habe heute zahlreiche Auswirkungen auf die Gesellschaft, Institutionen und Betroffene. Seit 2006 kann beobachtet werden, dass sich das organisierte Verbrechen und von Regierungen motivierte Kriegsführungsstrategien damit beschäftigen, wie mögliche Ziele von Cyber-Angriffen aussehen könnten. Die Resultate waren: 14
17 Cyber-SiCherheitS-CheCk einführung» Diebstahl von vertraulichen Informationen, Produktdaten und Entwicklungen bis hin zur systematischen Spionage» Diebstahl von geistigem Eigentum, Manipulation von Handelsgeschäften, Unterschlagung von Werten» Finanzbetrug, Missbrauch von Kreditkarten, Fälschung und Missbrauch von Identitäten Interessant dabei ist, dass die Entwicklung der Cyber-Kriminalität in ihrer gegenwärtigen Form eine Geschwindigkeit und eine Größenordnung erreicht hat, die selbst von Kritikern nicht prognostiziert wurde. Die Cyber-Kriminalität wuchs im Vergleich zur allgemeinen Kriminalität von ca. 1% in 2009 auf 23% in 2011 und hat damit binnen kürzester Zeit einige andere Formen der Kriminalität überholt. Die Cyber-Kriegsführung, über die anfänglich nur vereinzelt Informationen, z. B. zu den Hintergründen der Schadprogramme Stuxnet und Duqu, bekannt geworden sind, zeigt sich mittlerweile durch die Veröffentlichungen des NSA- Whistleblowers Edward Snowden in ihrem wahren Ausmaß. In beiden Fällen sind die Auswirkungen auf Gesellschaft, Institutionen und Betroffene immens und eine Nicht-Teilnahme am Cyber-Raum scheint keine realistische Option mehr zu sein. Vielmehr muss die Erkenntnis erwachsen, dass jede Institution, die sich im Cyber-Raum bewegt, auch unweigerlich solchen Angriffen ausgesetzt ist. Die Leitung einer Institution sollte dieses Bewusstsein in ihre Risikobetrachtung mit aufnehmen und angemessene Ressourcen bereitstellen, um angemessene Schutzvorkehrungen umzusetzen. 2.4 Cyber-Sicherheitsstrategie der Bundesregierung Der Cyber-Raum umfasst alle durch das Internet weltweit über territoriale Grenzen hinweg erreichbaren Informationsinfrastrukturen. In Deutschland nutzen alle Bereiche des gesellschaftlichen und wirtschaftlichen Lebens die vom Cyber-Raum zur Verfügung gestellten Möglichkeiten. Staat, Kritische Infra 15
18 Cyber-SiCherheitS-CheCk einführung strukturen, Wirtschaft und Bevölkerung in Deutschland sind als Teil einer zunehmend vernetzten Welt auf das verlässliche Funktionieren der Informations- und Kommunikationstechnik sowie des Internets angewiesen. Im Rahmen des Umsetzungsplans Kritische Infrastrukturen (UP KRITIS) kooperiert das BSI bereits seit 2007 intensiv mit Betreibern Kritischer Infrastrukturen. Die Cyber-Sicherheitsstrategie für Deutschland, die im Februar 2011 von der Bundesregierung beschlossen wurde, ermöglicht es Staat, Wirtschaft und Privatanwendern, im Rahmen ihrer jeweiligen Verantwortungsbereiche und Handlungsmöglichkeiten, aktuellen und künftigen Bedrohungen aus dem Cyber-Raum begegnen zu können. Cyber-Sicherheit wird dabei durch die im Vordergrund stehenden zivilen Ansätze und Maßnahmen als Teil der gesamtstaatlichen Sicherheitsvorsorge verankert. Bei den Kritischen Informationsstrukturen steht die stärkere Verzahnung von Staat und Wirtschaft auf der Grundlage eines intensiven Informationsaustausches im Mittelpunkt. 16
19 3 Grundsätze des Cyber-Sicherheits-Checks 17
20 Cyber-SiCherheitS-CheCk GrunDSätze 3 Grundsätze des Cyber-Sicherheits-Checks Mit Hilfe eines Cyber-Sicherheits-Checks können Unternehmen und Behörden das aktuelle Niveau der Cybersicherheit in ihrer Institution bestimmen. Wie aus der Informationssicherheit bekannt, muss eine solche Beurteilung auf Basis eines umfassenden Rahmenwerks erfolgen, um fundierte Aussagen liefern zu können. Der vorliegende Leitfaden und die zugrunde liegenden Maßnahmenziele für die Beurteilung wurden so konzipiert, dass das Risiko, einem Cyber-Angriff zum Opfer zu fallen, durch regelmäßige Durchführung eines Cyber-Sicherheits-Checks minimiert werden kann. Dabei wurde die Vorgehensweise auf Cyber-Sicherheits-Belange fokussiert. Sie setzt auf drei Verteidigungslinien auf. Abbildung 3 zeigt, dass zuerst ein Verständnis der Leitung / des Managements einer Institution für die Notwendigkeit von Maßnahmen zur Cyber-Sicherheit, den Schutzbedarf der Geschäftsprozesse sowie deren Abhängigkeiten und Bedrohungen Abbildung 3: Drei Verteidigungslinien 18
21 Cyber-SiCherheitS-CheCk GrunDSätze vorhanden sein muss. Über das Risikomanagement, welches die zweite Linie darstellt, sollte es dann zu einer Analyse kommen, in wie weit sich Cyber-Sicherheitsrisiken auf die Institution und deren Prozesse auswirken. Dabei prüft das Risikomanagement der Institution als erste unabhängige Instanz die Entscheidungen der Leitung / des Managements und bewertet diese, allerdings ohne die Beschlüsse rückgängig zu machen. Die finale Entscheidung über die Umsetzung von Sicherheitsmaßnahmen verbleibt weiterhin bei der Leitung / dem Management. Als dritte Verteidigungslinie kommt der Cyber-Sicherheits- Check zum Einsatz, durch den eine unabhängige und objektive Beurteilung des vorhandenen Sicherheitsniveaus erfolgt. Der Beurteiler unterstützt die Institution bei der Erreichung ihrer Ziele, indem er mit einem systematischen und zielgerichteten Ansatz die Cyber-Sicherheit in der Institution bewertet und durch seine Arbeit die Optimierung der Sicherheitsmaßnahmen fördert. Um Vertrauen in eine objektive Beurteilung zu schaffen, müssen folgende Voraussetzungen sowohl durch Einzelpersonen als auch durch Unternehmen, die Dienstleistungen im Bereich der Cyber-Sicherheit erbringen, eingehalten werden:» Eine formale Beauftragung des Cyber-Sicherheits-Checks durch die Institution (siehe dazu ISACA IT-Prüfungsstandard 1001 AuditCharter) [ISACA8]» Unabhängigkeit (siehe dazu ISACA IT-Prüfungsstandard 1002 Organisatorische Unabhängigkeit und 1004 Persönliche Unabhängigkeit) [ISACA8]» Rechtschaffenheit und Vertraulichkeit (siehe dazu ISACA IT-Prüfungsstandard 1005 Berufsübliche Sorgfalt) [ISACA8]» Fachkompetenz (siehe dazu ISACA IT-Prüfungsstandard 1006 Expertise) [ISACA8]» Nachweise und Nachvollziehbarkeit (siehe dazu ISACA IT-Prüfungsstandard 1205 Nachweise) [ISACA8] 19
22 Cyber-SiCherheitS-CheCk GrunDSätze» Objektivität und Sorgfalt (siehe dazu ISACA IT-Prüfungsstandards 1207 Unregelmäßigkeiten und gesetzeswidrige Handlungen und 1204 Wesentlichkeit) [ISACA8]» Sachliche Darstellung (siehe dazu ISACA IT-Prüfungsstandard 1401 Berichterstattung) [ISACA8] Grundvoraussetzung für jede Beurteilung im Rahmen des Cyber-Sicherheits-Checks ist ein uneingeschränktes Informations- und Einsichtnahmerecht. Dies bedeutet, dass dem Beurteiler keine Informationen vorenthalten werden dürfen. Hierzu gehört auch die Einsichtnahme in sensible oder amtlich geheim gehaltene Informationen, die das Informationssicherheitsmanagement und/oder den IT-Betrieb betreffen, sofern der Beurteiler einen entsprechend berechtigtes Interesse glaubhaft machen kann. Dieser muss im letzten Fall entsprechend der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VSA siehe [BMI3]) bzw. dem Handbuch für den Geheimschutz in der Wirtschaft (siehe [BMWI]) sicherheitsüberprüft und ermächtigt sein. Dabei ist die Stufe der Sicherheitsüberprüfung vom Vertraulichkeitsgrad der betreffenden Informationen abhängig. Grundlagen für den Cyber-Sicherheits-Check sind neben diesem Leitfaden die beiden BSI-Empfehlungen zur Cyber-Sicherheit Basismaßnahmen der Cyber-Sicherheit (siehe [ACS3]) und Cyber-Sicherheits-Exposition (siehe [ACS2]). Insofern diese Werke zu einzelnen Teilen des Beurteilungsgegenstands keine Aussage treffen, sind andere einschlägige Vorschriften, Gesetze, Standards oder Vorgaben durch Hersteller oder Berufsverbände zu verwenden. Die Nutzung dieser Regelwerke ist im Beurteilungsbericht zu dokumentieren und zu begründen. Die Vor-Ort-Beurteilung kann sowohl von einem Beurteiler allein, als auch in einem Team von mehreren Personen durchgeführt werden. Grundsätzlich sollte bereits bei der Initiierung eines Cyber-Sicherheits-Checks beachtet werden, dass der laufende Betrieb in der Institution durch die Beurteilung nicht wesentlich gestört 20
23 Cyber-SiCherheitS-CheCk GrunDSätze wird. Der Beurteiler greift niemals selbst aktiv in Systeme ein und erteilt auch keine Handlungsanweisungen zu Änderungen an IT-Systemen, Infrastrukturen, Dokumenten oder organisatorischen Abläufen. Er benötigt jeweils ausschließlich lesenden Zugriff. 21
24 22 4 Durchführung eines Cyber-Sicherheits- Checks
25 Cyber-SiCherheitS-CheCk DurChführunG 4 Durchführung eines Cyber-Sicherheits-Checks 4.1 Beurteilungsgegenstand Gegenstand eines Cyber-Sicherheits-Checks ist grundsätzlich die gesamte Institution einschließlich ihrer Anbindungen an das Internet, der Anbindungen über andere Organisationseinheiten an das Internet sowie aller Anbindungen an weitere Netze, wie z. B. Netze von Partnern, Dienstleistern und Kunden. Nicht relevant sind alle Aspekte, die physischen Zugang zu IT- Systemen betreffen bzw. Aspekte, die sich mit der physischen Sicherheit (Brandschutz, Einbruchsschutz etc.) beschäftigen. Sofern wesentliche logische IT-Systeme oder IT-Dienste von der Beurteilung ausgenommen werden, ist dies als Abgrenzung des Beurteilungsgegenstands im Beurteilungsbericht zu dokumentieren und zu begründen. 4.2 Vorgehensweise Nachfolgend wird die Vorgehensweise zur Durchführung eines Cyber-Sicherheits-Checks schrittweise erläutert: Schritt 1 - Auftragserteilung : Zur Durchführung eines Cyber-Sicherheits-Checks müssen weder die obligatorischen Dokumente zum Sicherheitsprozess existieren, noch muss ein definierter Umsetzungsstatus bestimmter Sicherheitsmaßnahmen erreicht sein. Daher ist es möglich, einen Cyber-Sicherheits-Check in jedem Umfeld und in jedem Stadium des Sicherheitsprozesses zu initiieren. Um eine umfangreiche und wirksame Beurteilung sicherzustellen, sollte der Auftrag zur Durchführung eines Cyber 23
26 Cyber-SiCherheitS-CheCk DurChführunG Sicherheits-Checks durch die Leitung / das Management der betreffenden Institution erfolgen. Schritt 2 - Bestimmung der Cyber-Sicherheits-Exposition : Zur Risikoersteinschätzung für die zu beurteilende Institution wird vor der Vor-Ort-Beurteilung die Cyber-Sicherheits-Exposition bestimmt. Darauf basierend kann der zu erwartende Zeitaufwand, die Beurteilungstiefe sowie die Wahl der Stichproben risikoorientiert bestimmt werden. Sofern die Bestimmung der Cyber-Sicherheits-Exposition für die betreffende Institution noch nicht auf Basis einer Management-Entscheidung durchgeführt wurde, sollte dies in geeigneter Weise durch den Beurteiler in Kooperation mit der Institution erfolgen. Entsprechende Anhaltspunkte liefern z. B. die in (siehe [ACS2]) vorgestellten Verfahrensweisen, vom Beurteiler geführte Kurzinterviews oder vorhandene Erfahrungswerte. Wurde die Cyber-Sicherheits-Exposition bereits durch die Institution bestimmt, kann der Beurteiler diese ohne weitere eigene Aktivitäten übernehmen, wenn ihm diese nachvollziehbar und angemessen erscheint. Die Ergebnisse der Cyber-Sicherheits- Exposition sind in jedem Fall im Bericht in geeigneter Weise zu dokumentieren. Detaillierte Informationen zur Bestimmung der Cyber-Sicherheits-Exposition finden sich in der BSI-Empfehlung zur Cyber- Sicherheit BSI-CS_013 Cyber-Sicherheits-Exposition (siehe [ACS2]). Schritt 3 - Dokumentensichtung : Die Dokumentensichtung dient dazu, einen Überblick über die Aufgaben, die Organisation und die IT-Infrastrukturen der Institution zu gewinnen. Die Dokumentensichtung beinhaltet lediglich eine grobe Sichtung der zur Verfügung gestellten Dokumente. Hierbei werden (soweit vorliegend) insbesondere das IT-Rahmenkonzept, die Liste der kritischen Geschäftsprozesse, die Sicherheitsleitlinie und das Sicherheitskonzept inklusive Netzplan beurteilt. 24
27 Cyber-SiCherheitS-CheCk DurChführunG Sind keine ausreichend informativen Dokumente vorhanden, wird die Dokumentensichtung durch Gespräche ergänzt, in denen sich der Beurteiler den erforderlichen Überblick verschaffen kann. Auf Basis der gewonnenen Erkenntnisse bestimmt der Beurteiler risikoorientiert die Stichproben und Schwerpunkte der Beurteilung. Schritt 4 - Vorbereitung der Vor-Ort-Beurteilung Zur Vorbereitung der Vor-Ort-Beurteilung sollte ein Ablaufplan unter Einbeziehung der Cyber-Sicherheits-Exposition erstellt werden. Dieser stellt dar, welche Inhalte wann beurteilt werden sollen und welche Ansprechpartner (Rollen/Funktionen) hierzu erforderlich sind. Der Ablaufplan ist der betreffenden Institution vorab zu übersenden. Schritt 5 - Vor-Ort-Beurteilung : Die Vor-Ort-Beurteilung selbst beginnt immer mit einem kurzen Eröffnungsgespräch und endet mit einem Abschlussgespräch. Im Eröffnungsgespräch wird der Institution die Vorgehensweise und Zielrichtung des Cyber-Sicherheits-Checks erläutert. Außerdem werden organisatorische Punkte geklärt, wie z. B. Zutrittskontrolle, Besprechungsraum oder etwaige Änderungen zum Ablauf. Im Rahmen der Vor-Ort-Beurteilung werden Interviews geführt, IT-Systeme in Augenschein genommen und evtl. weitere Dokumente gesichtet. Bei der Durchführung der Vor-Ort-Beurteilung sollten die für die jeweiligen Themen zu befragenden Ansprechpartner zur Verfügung stehen. Die zu beurteilenden Stichproben (z. B. Dokumente, IT-Systeme) und die festgestellten Sachverhalte sollten vom Beurteiler ausreichend detailliert dokumentiert werden, um diese Informationen später für die Erstellung des Berichtes angemessen verwenden zu können. Im Abschlussgespräch, an dem auch die Leitungsebene der Institution teilnehmen sollte, wird eine erste allgemeine Einschätzung zum Niveau der Cyber-Sicherheit in der Institution gegeben. Darüber hinaus eröffnet der Beurteiler schwerwiegende Sicherheitsmängel, die die Cyber-Sicherheit der Institution 25
28 Cyber-SiCherheitS-CheCk DurChführunG unmittelbar stark gefährden und deshalb zeitnah behandelt werden sollten. Schritt 6 - Nachbereitung / Berichterstellung : Der Cyber-Sicherheits-Check wird mit einem Beurteilungsbericht abgeschlossen. Der Bericht eröffnet einen Überblick zur Cyber-Sicherheit in der Institution und beinhaltet neben der Darlegung der Cyber-Sicherheits-Exposition eine Liste der festgestellten Mängel. Zu jedem Maßnahmenziel (siehe [ACS4]) sollte das jeweilige Beurteilungsergebnis dokumentiert werden. Im Bericht werden allgemeine Empfehlungen zur Behandlung der festgestellten Mängel aufgezeigt. Hieraus kann die beurteilte Institution entnehmen, in welchen Bereichen vermehrt Aktivitäten erforderlich sind, um das Cyber-Sicherheits-Niveau zu erhöhen. Nähere Informationen zur Erstellung des Berichtes finden sich in Kapitel 4.6 Erstellung des Beurteilungsberichtes Qualität der Durchführung / Personenzertifikat Einen Cyber-Sicherheits-Check kann eine Institution sowohl durch qualifiziertes eigenes Personal als auch durch einen kompetenten Dienstleister durchführen lassen. In beiden Fällen ist jedoch sicherzustellen, dass die in diesem Leitfaden vorgegebene Herangehensweise genutzt wird. Um die Kenntnis der wesentlichen Prinzipien der Cyber- Sicherheit und der Durchführung von Cyber-Sicherheits- Checks nach außen hin zu dokumentieren, bieten die Allianz für Cyber-Sicherheit und ISACA interessierten Teilnehmern in einer eintägigen Fortbildung zum Thema Cyber-Sicherheit die Möglichkeit, nach erfolgreichem Ablegen einer Multiple Choice-Prüfung ein Zertifikat als Cyber-Security-Practitioner zu erlangen. Das Zertifikat ist 3 Jahre lang gültig und dann durch entsprechende Fortbildungsveranstaltungen zu erneuern. Die eintägige Veranstaltung wird durch das BSI und ISACA als CPE-fähige Fortbildung für Zertifikatsinhaber der beiden Organisationen anerkannt. 26
29 Cyber-SiCherheitS-CheCk DurChführunG 4.3 Beurteilungsmethoden Unter Beurteilungsmethoden werden alle für die Ermittlung eines Sachverhaltes verwendeten Handlungen verstanden. Während eines Cyber-Sicherheits-Checks können vom Beurteiler folgende Beurteilungsmethoden genutzt werden:» Mündliche Befragung (Interview),» Inaugenscheinnahme von IT-Systemen, Orten, Räumlichkeiten und Gegenständen,» Beobachtung (Wahrnehmungen im Rahmen der Vor-Ort- Beurteilung),» Aktenanalyse (hierzu gehören auch elektronische Daten oder statistische Auswertungen),» Datenanalyse (z. B. Konfigurationsdateien, Logfiles, Auswertung von Datenbanken etc.) und» Schriftliche Befragung (z. B. Fragebogen). Welche dieser Methoden angewendet werden, hängt vom konkreten Sachverhalt ab und ist durch den Beurteiler festzulegen. Dieser hat weiterhin zu beachten, dass in jedem Fall der Grundsatz der Verhältnismäßigkeit eingehalten wird. Für die Ermittlung eines Sachverhaltes können auch mehrere Beurteilungsmethoden kombiniert zur Anwendung kommen. 4.4 Verbindliche Maßnahmenziele Durch die Etablierung verbindlicher Maßnahmenziele soll sowohl eine gleichbleibend hohe Qualität des Cyber-Sicherheits- Checks, als auch eine Vergleichbarkeit der Tätigkeit unterschiedlicher Beurteiler gewährleistet werden. Die verbindlichen Maßnahmenziele für einen Cyber-Sicherheits-Check basieren auf den Basismaßnahmen der Cyber- Sicherheit (siehe [ACS3]). Eine detaillierte Darstellung der 27
30 Cyber-SiCherheitS-CheCk DurChführunG verbindlichen Maßnahmenziele findet sich auf den Webseiten der Allianz für Cyber-Sicherheit (siehe [ACS4]). Die Beurteilungstiefe (Intensität) wird vom Beurteiler je nach Höhe der Cyber-Sicherheits-Exposition risikoorientiert angepasst. 4.5 Bewertungsschema Werden im Rahmen eines Cyber-Sicherheits-Checks Sicherheitsmängel festgestellt, so hat der Beurteiler spätestens bei der Berichtserstellung festzulegen, wie die betreffenden Mängel in ihrer Kritikalität zu bewerten sind. Sicherheitsmängel sind wie folgt einzuordnen: kein Sicherheitsmangel Zum Zeitpunkt der Beurteilung konnte kein Sicherheitsmangel festgestellt werden. Es gibt keine ergänzenden Hinweise. Sicherheitsempfehlung Auch eine voll umgesetzte IT-Sicherheitsmaßnahme kann um eine Sicherheitsempfehlung ergänzt werden. Durch die Umsetzung der im Sachverhalt beschriebenen Maßnahmenempfehlungen kann die Sicherheit erhöht werden. Verbesserungsvorschläge für die Umsetzung von Maßnahmen, ergänzende Maßnahmen, die sich in der Praxis bewährt haben oder Kommentare hinsichtlich der Angemessenheit von Maßnahmen können ebenfalls als Sicherheitsempfehlung aufgeführt werden. Sicherheitsmangel Bei einem Sicherheitsmangel liegt eine Sicherheitslücke vor, die mittelfristig behoben werden sollte. Die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen kann beeinträchtigt sein. 28
31 Cyber-SiCherheitS-CheCk DurChführunG Schwerwiegender Sicherheitsmangel Ein schwerwiegender Sicherheitsmangel ist eine Sicherheitslücke, die umgehend geschlossen werden sollte, da die Vertraulichkeit, die Integrität und/oder die Verfügbarkeit der Informationen stark gefährdet und erheblicher Schaden zu erwarten ist. Sicherheitsmängel und -empfehlungen sind im Abschlussbericht so zu dokumentieren, dass die Bewertung für einen sachkundigen Dritten nachvollziehbar ist. 4.6 Erstellung des Beurteilungsberichtes Der Beurteilungsbericht eines Cyber-Sicherheits-Checks ist der Leitung / dem Management der Institution bzw. dem Auftraggeber schriftlich bekannt zu geben. Eine Entwurfsversion des Berichts sollte der geprüften Institution vorab übermittelt werden, um zu verifizieren, ob die festgestellten Sachverhalte (nur festgestellte Sachverhalte ohne Bewertungen und Empfehlungen) sachlich richtig aufgenommen wurden. Der Beurteilungsbericht besteht mindestens aus folgenden drei Teilen:» den Rahmendaten, inklusive detaillierter Beschreibung des Beurteilungsgegenstands» einer Zusammenfassung (Management Summary, einschließlich Cyber-Sicherheits-Exposition)» der Detailbeurteilung (ausführliche Darstellung der festgestellten Mängel, deren Bewertung und Empfehlungen zum Abstellen der Mängel) Der Beurteilungsbericht ist als Mängelbericht ohne Würdigung positiver Aspekte zu erstellen. 29
32 Cyber-SiCherheitS-CheCk DurChführunG Teil I - Rahmendaten Dieser Teil enthält die organisatorischen Informationen:» Beurteilungsgegenstand» Abgrenzung des Beurteilungsgegenstands» Beurteiler» Ansprechpartner der beurteilten Institution» Beurteilungsgrundlagen» zeitlicher Ablauf» Verteiler für den Beurteilungsbericht» Rahmendaten des Beurteilungsdokuments bzw. der Dokumentenlenkung Dateiname Druckdatum Dokumentenstatus Teil II - Management Summary Dieser Teil enthält eine Zusammenfassung für das Management. In knapper, verständlicher Form sollten die wesentlichen Mängel und daraus hervorgehende Empfehlungen zusammengefasst werden.» Summary» Cyber-Sicherheits-Exposition» Übersicht der Beurteilungsergebnisse (für alle Maßnahmenziele aus (siehe [ACS4])) 30
33 Cyber-SiCherheitS-CheCk DurChführunG Teil III - Detailbeurteilung je Maßnahmenziel Dieser Teil des Berichtes beinhaltet die ausführliche Darstellung der beurteilten Themenfelder, die festgestellten Mängel, deren Bewertung sowie Empfehlungen zum Abstellen der bemängelten Sachverhalte. Bei der Bewertung der festgestellten Mängel ist das in Kapitel 4.5 dargestellte Schema zu verwenden.» Maßnahmenziel (siehe [ACS4])» Ergebnis einschließlich Bewertung» Stichprobe(n)» Beschreibung festgestellter Mängel inkl. Maßnahmenempfehlung(en) Formale Aspekte zum Abschlussbericht: Bei der Erstellung des Beurteilungsberichtes sind folgende formale Aspekte zu berücksichtigen:» Die Seitenkennzeichnung muss so gestaltet sein, dass jede Seite eindeutig identifiziert werden kann (z. B. mit Seitennummer sowie Versionsnummer, Bezeichnung und Datum des Berichts).» Verwendete Fachbegriffe oder Abkürzungen, die nicht allgemein gebräuchlich sind, müssen in einem Glossar bzw. Abkürzungsverzeichnis zusammengefasst werden.» Der Bericht muss die geprüften Organisationseinheiten und die Empfänger des Berichts eindeutig bezeichnen sowie etwaige Verwendungsbeschränkungen vermerken.» Der Bericht ist durch den Beurteiler zu unterschreiben.» Form und Inhalt eines Berichts können je nach Art der in Auftrag gegebenen Beurteilungsarbeiten unterschiedlich sein, jedoch sind für den Cyber-Sicherheits-Check die Mindestan 31
34 Cyber-SiCherheitS-CheCk DurChführunG forderungen an den Beurteilungsbericht (siehe dieses Kapitel) sowie der ISACA IT-Prüfungsstandard 1401 (siehe [ISACA6]) einzuhalten. Ein Muster-Bericht für einen Cyber-Sicherheits-Check findet sich auf den Webseiten der Allianz für Cyber-Sicherheit (siehe [ACS6]). 32
35 5 Glossar und Begriffsdefinition 33
36 Cyber-SiCherheitS-CheCk GloSSar und begriffsdefinition 5 Glossar und Begriffsdefinition Die folgenden Begrifflichkeiten werden in diesem Dokument verwendet: APT (Advanced Persistent Threat) bezeichnet einen sehr komplexen, zielgerichteten, aufwendig vorbereiteten und durchgeführten Cyber-Angriff (siehe auch Kapitel 2.2). BSI (Bundesamt für Sicherheit in der Informationstechnik) ist der zentrale IT-Sicherheitsdienstleister der Bundesverwaltung. Beurteiler ist eine Person, die einen Cyber-Sicherheits-Check auf Basis dieses Leitfadens durchführt. CPE (Continuing Professional Education) ist ein Maß für die Erbringung von kontinuierlicher beruflicher Weiterbildung. Cyber-Kriminalität sind kriminelle Aktivitäten, die den Cyber-Raum als Quelle, Ziel und/oder Werkzeug nutzen. Cyber-Raum umfasst alle durch das Internet über territoriale Grenzen hinweg weltweit erreichbaren Informationsinfrastrukturen. Cyber-Sicherheit verfolgt den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gegen Bedrohungen aus dem Cyber-Raum. Institution wird als Oberbegriff für Behörden, Unternehmen und sonstige öffentliche oder private Organisationen verwendet. ISACA (Information Systems Audit and Control Association) ist der Berufsverband der IT-Revisoren, IT-Sicherheitsmanager und IT-Governance-Beauftragten. 34
37 Cyber-SiCherheitS-CheCk GloSSar und begriffsdefinition KRITIS (Kritische Infrastrukturen) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Leitung / Management wird als Begriff für Vorstand, Geschäftsführer, Behördenleitung verwendet. Maßnahmenziele sind für die Beurteilung relevante Aspekte und Fragestellungen der Cyber-Sicherheit. Hierzu gehören Themen des Sicherheitsmanagements genauso wie technische Aspekte. Whistleblower (auch Enthüller, Skandalaufdecker oder Hinweisgeber ) ist eine Person, die für die Allgemeinheit wichtige Informationen aus einem geheimen oder geschützten Zusammenhang an die Öffentlichkeit bringt. Alle Personalbegriffe in diesem Dokument beziehen sich in gleicher Weise auf Frauen und Männer. Wird im Text die männliche Form verwendet, geschieht dies ausschließlich aus Gründen der leichteren Lesbarkeit. 35
38 36 6 Literaturverzeichnis
39 Cyber-SiCherheitS-CheCk literaturverzeichnis 6 Literaturverzeichnis [ACS1] Allianz für Cyber-Sicherheit, Webauftritt, [ACS2] Allianz für Cyber-Sicherheit, BSI-CS_013 Cyber-Sicherheits-Exposition, [ACS3] Allianz für Cyber-Sicherheit, BSI-CS_006 Basismaßnahmen der Cyber-Sicherheit, [ACS4] Allianz für Cyber-Sicherheit, Verbindliche Maßnahmenziele für den Cyber-Sicherheits-Check, [ACS5] Allianz für Cyber-Sicherheit, BSI-CS_072 Erste-Hilfe bei einem APT-Angriff, [ACS6] Allianz für Cyber-Sicherheit, Muster-Bericht für den Cyber-Sicherheits-Check, [BMI1] Bundesministerium des Innern, Nationaler Plan zum Schutz der Informationsinfrastrukturen in Deutschland, Umsetzungsplan KRITIS (UP-KRITIS), September 2007, [BMI2] Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland, Februar 2011, [BMI3] Bundesministerium des Innern, Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen, Juni 2006, 37
40 Cyber-SiCherheitS-CheCk literaturverzeichnis [BMWI] Bundesministerium für Wirtschaft und Energie, Handbuch für den Geheimschutz in der Wirtschaft, November 2004, [ISACA1] ISACA Germany Chapter e.v., Webauftritt, [ISACA2] ISACA, Transforming Cybersecurity Using COBIT 5, 2013, [ISACA3] ISACA, Berufs-Ehrenkodex, 2013, [ISACA4] ISACA, COBIT 5 for Information Security, 2012, [ISACA5] ISACA, Responding to Targeted Cyberattacks, 2013, [ISACA6] ISACA, IT-Prüfungsstandards, 2013, Knowledge-Center/Standards/Pages/Standards-for IS-Audit-and-Assurance-German.aspx [ISACA7] ISACA, Advanced Persistent Threats: How to Manage the Risk to Your Business, 2013, [ISACA8] ISACA, Knowledge Center, 38
41 7 Maßnahmenziele 39
42 Cyber-SiCherheitS-CheCk massnahmenziele Erläuterung Die nachfolgend aufgeführten Maßnahmenziele A bis M sind bei der Durchführung eines Cyber-Sicherheits-Checks verbindlich zu beurteilen. Die Reihenfolge der Maßnahmenziele ist dabei nicht als Priorisierung oder zwingende Abfolge bei der Beurteilung anzusehen, sondern dient lediglich der Strukturierung. Zur Beurteilung eines Maßnahmenziels sind mindestens die zu dem jeweiligen Maßnahmenziel zugehörigen Basismaßnahmen heranzuziehen. Die Stichproben für die Vor-Ort-Beurteilung sind nach einem risikoorientierten Ansatz zu prüfen. Detaillierte Hinweise zur Durchführung eines Cyber-Sicherheits-Checks finden sich im Kapitel 4 des Leitfadens Cyber Sicherheits-Check ( 40
43 Cyber-SiCherheitS-CheCk massnahmenziele Maßnahmen Basismaßnahmen Referenzen A Absicherung von Netzübergängen Die Absicherung von Netzübergängen ist einer der entscheidenden Faktoren für eine wirksame Abwehr von Angriffen aus dem Internet. Auf Grundlage der Netzwerkarchitektur müssen Abwehrmaßnahmen für alle internen und externen Netzübergänge sowie die entsprechenden Prozesse (wie z. B. ein Change Management) geplant und umgesetzt werden.» Alle Netzübergänge sind identifiziert und dokumentiert.» Das Netz ist in Segmente aufgeteilt und die Anzahl der Netzübergänge wird minimal gehalten.» Alle Netzübergänge sind durch geeignete Sicherheitsgateways abgesichert und werden regelmäßig überprüft.» Auf Client- und Serversystemen findet eine technische Schnittstellenkontrolle statt, die eine zulässige Nutzung kontrolliert und eine unzulässige Nutzung verhindert. BSI IT-GSK 13. Erg.-Lieferung: B 3.301, B 3.302, B 4.1, B 5.14, M COBIT 5: DSS05.02, DSS05.03, DSS06.06 ISO/IEC 27001:2005: A.10.6, A , A.11.4, A , A11.7, A ISO/IEC 27001:2013: A.6.2, A.8.3.1, A.9.1.2, A.13.1 PCI DSS 3.0: 1.1, 1.1.2, 1.1.4, 1.1.6, 1.2, 1.2.3, 1.3, , 1.4, 2.2.3, 2.2.4, 4.1, 4.1.1, 8.3, 11.4, , » Zugänge mobiler IT- Geräte sind angemessen abgesichert und auf das erforderliche Mindestmaß beschränkt.» Zugänge für Remote- Administration und -Überwachung sind angemessen abgesichert.» Es werden nur zeitgemäße Verschlüsselungs- und Authentisierungsverfahren eingesetzt. 41
44 Cyber-SiCherheitS-CheCk massnahmenziele Maßnahmen Basismaßnahmen Referenzen B Abwehr von Schadprogrammen Im Sinne einer gestaffelten Verteidigung gegen Angriffe durch Schadprogramme (Viren, Würmer und Trojanische Pferde) muss die Abwehr über eine große Zahl von IT-Systemen einschließlich der Sicherheitsgateways verteilt werden. Der eigentliche Client als Arbeitsplatzsystem ist dabei die letzte Verteidigungslinie.» Schutzsoftware gegen Schadprogramme kommt durchgängig zum Einsatz und wird fortlaufend aktuell gehalten.» Verteilt über die verschiedenen IT-Systeme kommen mehrere Lösungen unterschiedlicher Anbieter zum Einsatz (gestaffelte Verteidigung).» IT-Systeme ohne angemessenen Schutz vor Schadprogrammen sind in speziellen Netzsegmenten isoliert. BSI IT-GSK 13. Erg.-Lieferung: B 1.6 COBIT 5: DSS05.01 ISO/IEC 27001:2005: A.10.4 ISO/IEC 27001:2013: A PCI DSS 3.0: 5.1, 5.1.1, 5.1.2, 5.2, 5.3, 5.4 C Inventarisierung der IT-Systeme Zur Planung und anschließenden Umsetzung von Abwehrmaßnahmen auf den eingesetzten IT-Systemen ist zunächst eine vollständige Inventarisierung der eingesetzten IT-Systeme und Software notwendig. Mithilfe dieses Inventarverzeichnisses ist insbesondere zu klären, welche verschiedenen Systemtypen in der Organisation im Einsatz sind.» Der Bestand an Hardund Software ist vollständig inventarisiert und wird fortlaufend aktualisiert.» Versionen und Patchstände von Betriebssystemen und Anwendungen werden regelmäßig aufgenommen.» Es existieren automatisierte Verfahren zur Erkennung nicht-autorisierter IT-Systeme und Anwendungen. BSI IT-GSK 13. Erg.-Lieferung: M 2.10 COBIT 5: APO01.06, BAI03.04, BAI09.01, BAI09.05 ISO/IEC 27001:2005: A7.1.1, A ISO/IEC 27001:2013: A.8.1.1, A PCI DSS 3.0: 2.4, 9.7, 9.7.1, 11.1, , ,
45 Cyber-SiCherheitS-CheCk massnahmenziele Maßnahmen Basismaßnahmen Referenzen D Vermeidung von offenen Sicherheitslücken Um das Risiko erfolgreicher Cyber-Angriffe zu minimieren, müssen offene Sicherheitslücken konsequent vermieden werden. Vorhandene Sicherheitsmechanismen von Betriebssystemen sollten daher genutzt werden. Darüber hinaus sollten Sicherheitsaktualisierungen genutzter Software zeitnah getestet und anschließend installiert werden. Ein wirksamer Change- Managementprozess sollte etabliert werden.» Ein effizienter Prozess zum Schwachstellenund Patchmanagement ist etabliert.» Im Rahmen der Softwareplanung wird die Nutzung stärkerer Abwehrmechanismen in aktuellerer Software gefördert.» Bekannte Sicherheitslücken werden kurzfristig durch Workarounds und bereitgestellte Sicherheitsaktualisierungen geschlossen.» Betriebssysteme, Serverdienste und Anwendungen werden vor Inbetriebnahme gehärtet. BSI IT-GSK 13. Erg.-Lieferung: B 1.14, M COBIT 5: APO12.01, BAI02.01, BAI10.02, BAI10.03, BAI10.05, DSS05.03 ISO/IEC 27001:2005: A , A , A , A , A , A , A , A.12.6 ISO/IEC 27001:2013: A.9.4.4, A , A.12.5, A.12.6, A , A , A , A PCI DSS 3.0: 6.1, 6.2, 6.3, 6.3.1, 6.3.2, 6.4, 6.4.1, 6.4.2, 6.4.4, 6.4.5, 6.5, » Ein Prozess zur sicheren Softwareentwicklung ist etabliert.» Bei der Beschaffung neuer Hard- und Software werden Sicherheitsanforderungen berücksichtigt. 43
46 Cyber-SiCherheitS-CheCk massnahmenziele Maßnahmen Basismaßnahmen Referenzen E Sichere Interaktion mit dem Internet Alle Vorgänge, bei denen Daten und Dienste aus dem Internet abgefragt und verarbeitet werden, sind mit geeigneten Maßnahmen abzusichern. Die jeweilige Stärke der eingesetzten Schutzmechanismen muss dem Schutzbedarf der auf dem jeweiligen IT-System verarbeiteten Daten sowie den einem Angreifer zur Verfügung stehenden möglichen Weiterleitungsmechanismen gerecht werden.» Der Browser inklusive aller Erweiterungen (Flash, Java, ActiveX usw.) verfügt über starke Sicherheitseigenschaften und ist bei einer hohen Cyber Sicherheits-Exposition besonders abgeschottet (z.b. Sandbox).» Eingehender - Verkehr wird zentral auf Bedrohungen, wie Schadprogramme und Phishing-Angriffe, untersucht.» Für die Darstellung von Dokumenten aus externen Quellen werden sichere Darstellungsoptionen verwendet. BSI IT-GSK 13. Erg.-Lieferung: B 5.3, B 5.4, B 5.12, B 5.18, B 5.19, B 5.21, M 2.162, M 2.164, M 2.166, M 5.67, M 2.46, M 3.78, M COBIT 5: BAI10.02, BAI10.03, BAI10.05, DSS05.01 ISO/IEC 27001:2005: A.6.2.3, A , A ISO/IEC 27001:2013: A , A PCI DSS 3.0: 1.4, 6.6, 12.3» Unerwünschte aktive Inhalte werden zentral gefiltert.» Apps und andere Internetanwendungen sind durch geeignete Schutzmechanismen abgesichert.» Es existieren verbindliche Vorgaben zur sicheren Nutzung von Cloud-Services und anderen Diensten im Internet. 44
47 Cyber-SiCherheitS-CheCk massnahmenziele Maßnahmen Basismaßnahmen Referenzen F Logdatenerfassung und auswertung Oftmals bleiben Sicherheitsvorfälle unerkannt, weil kurzfristig kein sichtbarer oder offensichtlicher Schaden eintritt. Mithilfe eines gut getarnten und hinreichend vorsichtigen Vorgehens ist es Angrei fern aber u.u. möglich, über längere Zeiträume die Kontrolle über Zielsysteme zu übernehmen, ohne dass diese Angriffe unmittelbar aufgrund singulärer Ereignisse detektiert werden. Daher ist es notwendig, ebenfalls Verfahren zur Aufdeckung von nicht offensichtlichen Sicherheitsvorfällen und langfristig angelegten Angriffen zu entwickeln.» Relevante Logdaten werden gemäß einschlägiger gesetzlicher, regulatorischer und organisatorischer Anforderungen vollständig erfasst und regelmäßig ausgewertet.» Die Nutzung privilegierter Konten und administrativer Zugriffe wird fortlaufend überwacht.» Logdaten sind angemessen vor Manipulation und Zerstörung geschützt. BSI IT-GSK 13. Erg.-Lieferung: B 5.22, M 2.64 COBIT 5: APO11.04, DSS05.07 ISO/IEC 27001:2005: A ISO/IEC 27001:2013: A.12.4 PCI DSS 3.0: 10.1, 10.2, , 10.3, , 10.5, , 10.6, , 11.4 G Sicherstellung eines aktuellen Informationsstands Die Fähigkeit zur Planung wirksamer Cyber Sicherheits-Maßnahmen wird im Wesentlichen durch die Qualität und den Umfang des eigenen Informationsstands bestimmt. Daher muss die Versorgung mit aktuellen und fachlich verlässlichen Informationen zur Cyber-Sicherheit sichergestellt werden.» Aktuelle Informationen zur Cyber-Sicherheit werden fortlaufend aus verlässlichen Quellen bezogen und ausgewertet.» Cyber-Sicherheits- Maßnahmen werden regelmäßig auf der Basis vorhandener Informationen hinsichtlich ihrer Effektivität überprüft BSI IT-GSK 13. Erg.-Lieferung: B 1.13, M 3.5,M 3.11, M 3.38, M 3.43, M 3.59, M 3.62, M 3.71, M 3.73 COBIT 5: APO12.01 ISO/IEC 27001:2005: A.6.1.7, A ISO/IEC 27001:2013: A.6.1.4, A und angepasst. PCI DSS 3.0:
Cyber-Sicherheits-Check
Cyber-Sicherheits-Check Ein Leitfaden zur Durchführung von Cyber-Sicherheits-Checks in Unternehmen und Behörden Matthias Becker, ISACA Germany Chapter 2014 ISACA Germany Chapter e.v. 1 Cyber-Sicherheits-Check
MehrLeitfaden Cyber-Sicherheits-Check
Leitfaden Cyber-Sicherheits-Check Ein Leitfaden zur Durchführung von Cyber-Sicherheits-Checks in Unternehmen und Behörden Cyber-SiCherheitS-CheCk inhalt Inhaltsverzeichnis Allianz für Cyber-Sicherheit
MehrCyber-Sicherheits- Check
-MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrIS-Revision in der Verwaltung
IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrFokus Event 26. August 2014
Fokus Event 26. August 2014 Meet & Explore @ Deutsche Telekom Markus Gaulke Vorstand COBIT / Konferenzen 1 Agenda Bericht über Neuigkeiten aus dem Germany Chapter Fachvortrag mit anschließender Diskussion
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrIT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit
IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrAllianz für Cyber-Sicherheit
Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrWir organisieren Ihre Sicherheit
Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.
MehrIT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen
Dr. Stefan Kronschnabl Stephan Weber Christian Dirnberger Elmar Török Isabel Münch IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Studie IT-Sicherheitsstandards
MehrQuality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -
Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Aktueller Stand 2 1. Einleitung 1.1 Ausgangssituation 1.2 Definitionen 1.3 Zielsetzung 1.4 Standards 2. Anforderungen an den QAR-IT-Prüfer
MehrKooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung
Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss
MehrInfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.
InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. RESSOURCEN BESTMÖGLICH NUTZEN. WORKSHOP INFOSEC AWARENESS DAS NOTWENDIGE
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrWSO de. <work-system-organisation im Internet> Allgemeine Information
WSO de Allgemeine Information Inhaltsverzeichnis Seite 1. Vorwort 3 2. Mein Geschäftsfeld 4 3. Kompetent aus Erfahrung 5 4. Dienstleistung 5 5. Schulungsthemen 6
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrMaintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrRISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de
RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrFührungsgrundsätze im Haus Graz
;) :) Führungsgrundsätze im Haus Graz 1.0 Präambel 2.0 Zweck und Verwendung Führungskräfte des Hauses Graz haben eine spezielle Verantwortung, weil ihre Arbeit und Entscheidungen wesentliche Rahmenbedingungen
MehrEngagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.
Engagement der Industrie im Bereich Cyber Defense Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25. April 2012 Cyber Defense = Informationssicherheit 2 Bedrohungen und Risiken Bedrohungen
MehrSecurity & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013
Security & Safety in einer smarten Energiewelt Ergebnisse der Breitenbefragung Stand März 2013 Folie 1 Art und Umfang der Studie Vorbemerkung Die vermehrte Einspeisung von Erneuerbaren Energien und die
MehrÄnderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000
Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrSicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH
Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrIT-Sicherheit in der Energiewirtschaft
IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens
MehrCyber-Security-Check. Anforderungskatalog. Version
Anforderungskatalog Cyber-Security-Check Version 1.0 14.06.2016 Hinweis: Quelle Leitfaden Cyber-Sicherheits-Check der Allianz für Cyber-Sicherheit (https://www.allianz-fuer-cybersicherheit.de/acs/de/informationspool/cybersicherheitscheck/csc.html)
MehrCode of Conduct (CoC)
Code of Conduct (CoC) Aeiforia CoC-Check: Erkennen Sie Auswirkungen des CoC auf Ihr Unternehmen! Aeiforia hat ein auf Checklisten gestütztes Vorgehen entwickelt, mit dem Sie Klarheit erlangen, in welchen
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
Mehr«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen
18 «Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen teilnimmt und teilhat.» 3Das Konzept der Funktionalen
MehrThe AuditFactory. Copyright by The AuditFactory 2007 1
The AuditFactory 1 The AuditFactory Committee of Sponsoring Organizations of the Treadway Commission Internal Control System (COSO I) 2 Vorbemerkung zur Nutzung dieser Publikation Die Nutzung der hier
MehrSiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)
Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche
MehrDok.-Nr.: Seite 1 von 6
Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung
MehrDDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen. www.ddv.de
DDV-SIEGEL Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen www.ddv.de Setzen Sie auf Nummer Sicher Die Adressdienstleister in den beiden DDV-Councils
Mehrstatuscheck im Unternehmen
Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen
MehrCyber-Sicherheit Aktuelle Gefährdungen und Gegenmaßnahmen. Dr. Harald Niggemann
Cyber-Sicherheit Aktuelle Gefährdungen und Gegenmaßnahmen Dr. Harald Niggemann Hagen, 3. Dezember 2014 Kernaussagen» Die Bedrohungslage im Cyber-Raum ist heute gekennzeichnet durch ein breites Spektrum
MehrDatenschutz-Management
Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb
MehrSicherheit und Verantwortung im Cyber-Raum
Sicherheit und Verantwortung im Cyber-Raum www.bsi.bund.de TOP 6 DER AKTUELLEN CYBER-ANGRIFFSFORMEN» Gezieltes Hacking von Webservern mit dem Ziel der Platzierung von Schadsoftware oder zur Vorbereitung
MehrGeyer & Weinig: Service Level Management in neuer Qualität.
Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.
MehrTypisierung des Replikationsplan Wirries, Denis Datenbankspezialist
Typisierung des Replikationsplan Wirries, Denis Datenbankspezialist Feintypisierung - Überblick Ergebnisse Ergebnisse aus aus anderen anderen Arbeitsergebnissen Arbeitsergebnissen Replikationsplan Replikationsplan
MehrGrundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.
Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche
MehrFragebogen: Abschlussbefragung
Fragebogen: Abschlussbefragung Vielen Dank, dass Sie die Ameise - Schulung durchgeführt haben. Abschließend möchten wir Ihnen noch einige Fragen zu Ihrer subjektiven Einschätzung unseres Simulationssystems,
Mehr1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN
KAPITEL ZAHLEN UND FAKTEN.3 MDM-Systeme MDM-Systeme sind in Unternehmen und Organisationen noch nicht flächendeckend verbreitet, ihr Einsatz hängt unmittelbar mit dem Aufbau von mobilen Infrastrukturen
MehrWIR MACHEN SIE ZUM BEKANNTEN VERSENDER
02040203 WIR MACHEN SIE ZUM BEKANNTEN VERSENDER Ein Mehrwert für Ihr Unternehmen 1 SCHAFFEN SIE EINEN MEHRWERT DURCH SICHERHEIT IN DER LIEFERKETTE Die Sicherheit der Lieferkette wird damit zu einem wichtigen
MehrLeseauszug DGQ-Band 14-26
Leseauszug DGQ-Band 14-26 Einleitung Dieser Band liefert einen Ansatz zur Einführung von Prozessmanagement in kleinen und mittleren Organisationen (KMO) 1. Die Erfolgskriterien für eine Einführung werden
MehrResilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting
Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrInternet- und E-Mail-Überwachung in Unternehmen und Organisationen
Publiziert in SWITCHjournal 1/2004 Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Dr. Ursula Widmer, Rechtsanwältin, Bern ursula.widmer@widmerpartners-lawyers.ch Die Nutzung von Internet
MehrAnalyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS
Analyse zum Thema: Laufzeit von Support-Leistungen für Axel Oppermann Advisor phone: +49 561 506975-24 mobile: +49 151 223 223 00 axel.oppermann@experton-group.com Januar 2010 Inhalt Summary und Key Findings
MehrFinanzierung für den Mittelstand. Leitbild. der Abbildung schankz www.fotosearch.de
Finanzierung für den Mittelstand Leitbild der Abbildung schankz www.fotosearch.de Präambel Die Mitgliedsbanken des Bankenfachverbandes bekennen sich zur Finanzierung des Mittelstands mit vertrauenswürdigen,
MehrGeFüGe Instrument I07 Mitarbeiterbefragung Arbeitsfähigkeit Stand: 31.07.2006
GeFüGe Instrument I07 Stand: 31.07.2006 Inhaltsverzeichnis STICHWORT:... 3 KURZBESCHREIBUNG:... 3 EINSATZBEREICH:... 3 AUFWAND:... 3 HINWEISE ZUR EINFÜHRUNG:... 3 INTEGRATION GESUNDHEITSFÖRDERLICHKEIT:...
MehrRisikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrMUSTER-IT-SICHERHEITSKONZEPTE DER EKD
KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1
MehrInterne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!
Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre
MehrDATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher
DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit
MehrInternetkriminalität
Informatikstrategieorgan Bund ISB Nachrichtendienst des Bundes NDB Internetkriminalität Aktuelle und zukünftige (mögliche) Bedrohungen Pascal Lamia, Leiter MELANI Bedrohungen Immer grössere Bedeutung der
MehrCyber-Sicherheits-Exposition
BSI-Veröffentlichungen zur Cyber-Sicherheit EMPFEHLUNG: MANAGEMENT Cyber-Sicherheits-Exposition Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen in Unternehmen, Behörden und anderen
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
MehrIT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter
IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrAktuelle Angriffsmuster was hilft?
Aktuelle Angriffsmuster was hilft? Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik Managementforum Postmarkt, Frankfurt
MehrWissenswertes über die Bewertung. Arbeitshilfe
Wissenswertes über die Bewertung Arbeitshilfe Grundlagen 02 Der Zweck der Archivierung ist es, Rechtssicherheit und Rechtsstaatlichkeit zu gewährleisten, eine kontinuierliche und rationelle Aktenführung
Mehr----------------------------------------------------------------------------------------------------------------------------------------
0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,
MehrIII.2.3) Technische und berufliche Leistungsfähigkeit
1. Anforderungen an das Unternehmen 1.1 Sicherheitsanforderungen Gegenstand des vorliegenden Auftrags sind Lieferungen und Leistungen, die entweder ganz oder teilweise der Geheimhaltung nach dem Sicherheitsüberprüfungsgesetz
MehrDas Projekt wird durchgeführt von den Bezirksregierungen in Nordrhein- Westfalen in ihrer Funktion als Fachstelle für die öffentlichen Bibliotheken
1 Das Projekt wird durchgeführt von den Bezirksregierungen in Nordrhein- Westfalen in ihrer Funktion als Fachstelle für die öffentlichen Bibliotheken welche die öffentlichen Bibliotheken im Bundesland
MehrStudie über die Bewertung von Wissen in kleinen und mittleren Unternehmen in Schleswig-Holstein
Studie über die Bewertung von Wissen in kleinen und mittleren Unternehmen in Schleswig-Holstein Sehr geehrte Damen und Herren, in der heutigen Wissensgesellschaft sind die zentralen Ressourcen erfolgreicher
MehrIndustriespionage im Mittelstand
Industriespionage im Mittelstand Die Sicherheitsbranche hat für die neue Art dieser Bedrohung den Fachterminus Advanced Persistent Threats (APTs) geprägt. Darunter versteht sie die fortwährende und fortgeschrittene
MehrWindows 8 Lizenzierung in Szenarien
Windows 8 Lizenzierung in Szenarien Windows Desktop-Betriebssysteme kommen in unterschiedlichen Szenarien im Unternehmen zum Einsatz. Die Mitarbeiter arbeiten an Unternehmensgeräten oder bringen eigene
MehrDatenschutz und Informationssicherheit 03.09.2015
Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrAlles für die Sicherheit: Das Kompetenzzentrum Kritische Infrastrukturen e. V.
Alles für die Sicherheit: Das Kompetenzzentrum Kritische Infrastrukturen e. V. KAT 12 15.09.2011 Berlin-Adlershof 15. September 2011 KKI e.v. 15.September 2011 Seite 2 Übersicht Kritische Infrastrukturen
MehrZwischenbericht der UAG NEGS- Fortschreibung
Zwischenbericht der UAG NEGS- Fortschreibung Vorlage zur 16. Sitzung des IT-Planungsrats am 18. März 2015 Entwurf vom 29. Januar 2015 Inhaltsverzeichnis 1 Anlass für die Fortschreibung der NEGS... 3 2
Mehr.. für Ihre Business-Lösung
.. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,
MehrSchutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de
Schutz von IT-Dienststrukturen durch das DFN-CERT Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz - Warum? Folie 2 Schutz - Warum? (1) Schutz von IT-Dienststrukturen immer bedeutsamer:
MehrPrüfung Netzwerk. Sicherheitslücken im IT-Verbund
Prüfung Netzwerk Sicherheitslücken im IT-Verbund Prüfung Netzwerk Netzwerke Router und Switche stellen das Rückgrat jeder Kommunikation in Unternehmen dar. Diese werden bei Prüfungen oft vernachlässigt
MehrSicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de
Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen Setzen Sie auf Nummer Sicher Die Qualitätssiegel des DDV Die Adressdienstleister in den drei DDV-
MehrResearch Note zum Thema: Laufzeit von Support-Leistungen für Server OS
Research Note zum Thema: Laufzeit von Support-Leistungen für Axel Oppermann Advisor phone: +49 561 506975-24 mobile: +49 151 223 223 00 axel.oppermann@experton-group.com November 2009 Inhalt 1 EINFÜHRUNG
MehrSCHWACHSTELLE MENSCH
KAPITEL 2: SICHERHEIT BEGINNT UND ENDET BEIM BENUTZER SCHWACHSTELLE MENSCH 1 SCHWACHSTELLE MENSCH 2014 hat die NTT Group Millionen von Sieben der zehn häufigsten Sicherheitslücken auf Kundensystemen Sicherheitslücken
MehrDie Umsetzung von IT-Sicherheit in KMU
Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrBehindert ist, wer behindert wird
Behindert ist, wer behindert wird Alle Menschen müssen lernen, dass Menschen mit Behinderungen gleichberechtigt sind Auf der ganzen Welt leben sehr viele Menschen mit Behinderungen: über 1 Milliarde Menschen
MehrFragen und Antworten
Fragen und Antworten im Umgang mit dem elektronischen Abfallnachweisverfahren eanv in Bezug auf die ZKS-Abfall -Allgemeine Fragen- www.zks-abfall.de Stand: 19.05.2010 Einleitung Auf den folgenden Seiten
Mehr